つつ、攻撃対象の最も弱い所を突けばよい一方で、 防御側の組織や企業は、全方面に完全な対策を施 すことが非現実的であるためです。 このため、防御側にとっては、具体的な対策実 施手段や、効果的な防御力向上のための施策の優 先順位・コスト配分を検討する上で、実際の「攻 撃の手口」の情報が重要です。 一方で、限られた対象のみに行われる「標的型 サイバー攻撃」については、基本的に、攻撃を受 けた当事者(被害者)しか、その攻撃手口の情報 を知りえません。 多くのセキュリティインシデントが報じられて いますが、攻撃手口の情報は明らかとなっていな いか、非公開となっており、情報は常に不足して います。 このような背景から、これらの情報を共有して いくことが非常に有用である、ということになり ます。 (2)情報共有の難しさと課題 ところが、実際の情報共有においては、「サイ バー攻撃を受けた」というだけで組織の風評被害 に繋がるリスクがあったり、公開しにくい内部情 報が含まれていたりと、様々な障害があります。 また、根本的な点として、組織にとって、情報を 受け取るメリットはあっても、情報を提供するメ リットが特に無いという問題もあります。 このため、攻撃に関する詳細かつ具体的な情報 を組織間で共有することは簡単ではなく、洗練さ れた組織的な攻撃者たちに対し、防御側は互いに 孤立し、被害が多発している状態にあるといって も、過言ではないでしょう。
「サイバー情報共有イニシアティブ
(J-CSIP)
」の紹介
1.はじめに
各国の政府機関や企業・組織に対するサイバー 攻撃に関するニュースが後を絶ちません。攻撃者 の正体も明らかになっておらず、高度化・巧妙化 を続けるサイバー攻撃に対し、防御側(攻撃を受 ける側)においては、組織を越えた「情報共有」 が有効であると、国内外で様々な活動が行われて います。 本稿では、IPAが「情報ハブ」(情報の集約・中 継点)として民間組織と共に運用している「サイ バー情報共有イニシアティブ」(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan、ジェイシップ)について紹介します。2.サイバー攻撃と情報共有
最初に、サイバー攻撃の特性と情報共有の必要 性、そして課題について整理します(図1)。 (1)情報共有の必要性 サイバー攻撃においては、攻撃側が一方的に有 利な状況となっています。サイバー攻撃を行う者 は、攻撃するタイミングや攻撃手段を自由に選び 図1 サイバー攻撃の特性と情報共有の課題 独立行政法人情報処理推進機構(IPA) 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー 主任松坂 志
4.情報共有の枠組み
2011年10月のJ-CSIP発足から翌年4月に正式 運用を開始するまでの約半年間、実務者による会 合にて、どのような枠組み(体制・ルール)で情 報共有を行うか、議論を重ねてきました。海外 (特に米国や欧州)の先行事例もありますが、当 事者である日本の各参加組織が納得できる形とす べく、情報共有のルール等は協議の上、白紙から 作成しています。 J-CSIPの 情 報 共 有 の 枠 組 み は 次 の 通 り で す (図3)。 ● IPAと各参加組織がNDAを締結し、情報の授 受はIPAを中継して実施する。 ● IPAは参加組織から情報提供を受け、必要な 分析や加工を行った上で、全参加組織へ情報 共有を行う。 現在、J-CSIPでは標的型攻撃メールを 最初の主な情報共有の対象としていま す。標的型攻撃メールは、標的型サイ バー攻撃での組織内ネットワークへの 侵入の足掛かりとして非常に多く使用 される手口であり、大きな脅威となっ ています。このことから、参加組織の 関心も高く、実際に多くの情報が共有 されています。5.情報共有の流れ
J-CSIPにおける情報共有の流れについ 攻撃手口に関する情報が防御側に行き渡り、対 策が十分に取られたことが攻撃者に伝わってしま うと、攻撃者は手口を変えて攻撃してくるように なります。情報が詳細で具体的になるほど、その 情報の取り扱いには注意が求められます。 このような課題を克服し、情報共有を進めてい く必要があります。3. J-CSIPの設立
2010年末より経済産業省が開催した「サイバ ーセキュリティと経済 研究会」[1]における主要な 提言の一つとして、「サイバー攻撃に対 する官民での情報共有の必要性」が挙げ られ、その実現のための準備が同省にて 進められてきました。 し か し 、 そ れ と 時 を 同 じ く し て 、 2011年9月には国内の重工業等複数社 に対するサイバー攻撃事案が報道される 事態となりました。これをうけ、同年10 月25日、経済産業省の呼びかけによって、 国内の重工・重電9社(1)が集まり、IPAを 情報ハブとした情報共有体制、J-CSIPが 発足しました。 2012年4月にはIPAと参加組織9社と の間でNDA(Non-Disclosure Agreement、 秘密保持契約)の締結と情報共有ルールの策定が 完了し、正式運用を開始。同年7月から10月に かけ、同じ枠組みを電力・ガス・化学・石油業界 へ拡張しました。本稿執筆段階では、5業界45 組織がJ-CSIPへ参加しています(図2)。 図2 J-CSIPの体制全体イメージ 図3 J-CSIPの情報共有の枠組みて、概要を説明します(図4)。 まず、参加組織で検知された攻撃メール等のデ ータが、安全な方法でIPAへ情報提供されます。 攻撃を検知する手段については各組織に任せられ ており、IPAへの情報提供を行うか否かについて も、各組織のベストエフォートとしています。 続いてIPAは、提供されたデータを分析 し、必要に応じてメールに添付されたウ イルスの解析情報等を付加します。また、 情報提供元に関する情報や機微情報のマ スク(匿名化)を行います。情報の匿名 化はJ-CSIPに限らず情報共有活動におけ る原則ですが、過剰にマスクすると情報 の有効性が損なわれてしまう可能性もあ り、どのような基準でマスクするか、あ る程度事前に定め、合意しています。 その後、情報提供元の最終確認を経て、 他の参加組織への情報提供(情報共有) を行います。こうして共有された情報を 基に、各組織で調査や対策を講じます。 J-CSIPでは「結果の共有」も重視して おり、共有された情報を基に分かったこ と(特に無ければその旨)を、IPAへ可能な限り 報告するルールとしています。同様の攻撃が発見 された場合等、IPAは必要に応じてそれらの情報 を再共有しています。
6.活動成果
2012年度の1年間では、全参加組織から合計 246件の情報提供を受け、うち201件を「標的型 攻撃メール」として取り扱いました(広くばら撒 かれたウイルスメール等を除外しています)。そ して、重複等を除き、有用と思われる情報の共有 を160件実施しました。 IPAでは2008年から標的型攻撃メールに関する 一般利用者からの情報提供の窓口を設置し、こち らは2012年度末時点の約5年間で、累計145件 の情報が提供されています。J-CSIPでは1年間で この量を超える情報提供がなされており、潜在化 していた標的型サイバー攻撃の実態の一部を把握 できつつあると考えています。 情報共有の直接的な成果としては、ある参加組 織からの情報を基に、他の参加組織へ着信してい たが未発見であった攻撃メールを発見できた、あ るいは事前の対策(メールのブロック等)に繋が ったという事例が複数あり、参加組織より情報共 有が有効であると評価されています(図5)。 また、J-CSIPの体制の中で、ビジネス上は競合 関係にもある同業他社間で情報共有を行うことが でき、これまでは明確に認知できていなかった 「業界を標的とした攻撃」の実情も参加組織間で 共有できるようになりました。さらに、情報を IPAへ集約することで、複数の攻撃情報の相関関 係が把握できるようになってきており、これらは 情報共有活動による大きな進歩となっています。 最新のJ-CSIPの運用状況等について、詳しくは IPAのウェブサイト[2]に掲載しているレポートを 参照して下さい。7.情報共有活動のポイント
J-CSIPを立ち上げ、運用してきた中で得られた、 情報共有活動のポイントを紹介します。 図4 情報共有の流れ 図5 情報共有による同等攻撃の発見(例)(1)体制・枠組み作り 情報共有を行うにあたり、まず体制を整えるこ とになりますが、情報提供と共有が活発に行われ る有意義な活動としていくためには、形だけの体 制にならないよう注意が必要です。 まず、運用規程やルールの策定においては、参 加者が正しく理解し、納得と合意を得られるもの であることが重要です。例えば、最も重要なルー ルの一つである「情報の取り扱い」において、各 参加組織は、情報を受領する側であり、同時に提 供する側でもあることから、「共有された情報は この範囲で使用してよい」=「自らが提供した情 報はこの範囲まで使用される」と明確に理解でき る必要があります。J-CSIPでは、秘密保持の基礎 的な部分はNDAで担保していますが、より細か いルールも別途定めています。 参加組織の同質性も一つの検討点です。直面し ている課題や問題意識、情報共有活動に対して割 けるリソース(体制、工数、技術力等)がある程 度同等な関係であると、後に述べる「スコープ」 の輪郭がより定まりやすく、情報の授受や活用の しやすさにも繋がると思います。J-CSIPでは、こ の同質性を考慮して業界ごとにグループを分けて います。実運用においても、グループにより活動 の内容に差があるという印象です。 そして、センシティブな情報の共有には、やは り一歩踏み込んだ信頼関係が必要です。互いの顔 の見える会合を持つ等、参加組織相互の、あるい は事務局(取りまとめ役)との信頼の熟成のため の取り組みも、併せて検討すべきでしょう。 (2)活動のスコープ いつでも何でも情報を共有すれば、とにかく役 に立つのかというと、そうでもありません。何を 目的とし(すなわち、どのような問題を解決する ため)、何の情報を共有するのか、共有された情 報をどう活かすのか、完全に明確でなくとも、参 加組織に共通したスコープ(目的範囲)がなけれ ば、ちぐはぐな活動となり、参加組織の満足が得 られないかもしれません。 これには、「何を実施するのか」だけでなく 「何を実施しないのか」の明確化も含まれます。 例えば、サイバー攻撃は24時間いつでも行われ る可能性があるのだから、情報共有も24時間体 制にすべきという考え方もあれば、当面そこまで の必要はないという考え方もあるでしょう。また、 活動のカバー対象として、大きく分けて「予防・ 検知」か、「インシデント対応・回復」か、ある いは両方なのかで、活動の方針は大きく変わって きます。 情報共有におけるスコープの明確さは、各参加 組織からの情報提供のモチベーションにも影響す るのではないかと考えます。まずは当面のスコー プを必要十分な範囲に絞り、参加組織が同じ方向 に向かって努力でき、同時に、活動の評価や見直 しのための基点となれば好ましいでしょう。参加 組織に必要以上の負荷がかかってしまったり、不 要な情報の授受ばかり発生し、得られる効果より もコストの方が高くなってしまったということで は、活動の意味がありません。 J-CSIPでも、順調に運用が進んでいる一方、全 参加組織で共通の、より明確なスコープの設定と いう点については、今後の一層の改善を検討して います。 (3)不審メールに対する運用の見直し IPAは一般利用者の方々に対し「不審なメール は開かず削除してください」と呼びかけており、 それは今も変わっていません。 しかし、標的型サイバー攻撃の対象となってい ることが明らかな組織については、その運用では 不十分ではないかと考えています。具体的には、 職員等が標的型攻撃メールと思われる不審なメー ルを受信した際に、システム管理部門等へ報告さ れるような仕組みが必要になってきています。 標的型攻撃メールは、一つの組織の中の複数人 に着信することがあります。この時、不審である ことに気付き、そのメールを削除した方は被害に 遭わないのですが、他の着信者は添付ファイルを 開き、ウイルスに感染した上、そのことに気付い てすらいないかもしれません。攻撃者はそのPC を遠隔操作し、組織内ネットワークへの侵入を試 みます。 このようなケースを防ぐため、組織内での情報 共有として、不審なメールに気付いた時はシステ ム管理部門へ報告してもらう運用とします。それ
が攻撃メールであると判断した場合は、当該メー ルと同様のメールが他の職員へ着信していない か、すみやかにメールサーバ等の検索を行い、着 信者をフォローし、被害拡大を防ぐ必要がありま す。そして、可能であればウイルスの不正通信先 (C&C[Command and Control]サーバ)を特定し、
ファイアウォール等で通信を遮断することで、同 等のウイルスに感染した未発見のPCによる被害 も食い止められる可能性があります。 多くの組織において、不審なメールは削除し、 特に報告もしないという運用を続けていることか ら、そもそも、攻撃が自組織に対して行われてい るのか否かも把握できていないのではないかと推 察しています。不審なメールを探し出す試みは、 被害拡大を防ぐだけでなく、攻撃の有無自体の把 握や、もし攻撃が行われているとすれば、どれく らいの頻度で、どのような属性の職員が狙われて いるのか、あるいはどのような手口が使われてい るのかといった、量的・質的な状況把握に繋がり ます。 そして、こうして発見できた攻撃メールや不正 通信先等の情報を、同時に組織間でも情報共有す ることで、他組織での未発見の攻撃メールやウイ ルスの検知、同種の攻撃による被害の防止・低減 に資する可能性がある、ということになります。 ただ、ほとんどの場合において、システム管理 部門の負荷の問題もあり、「不審なメールを受信 したら報告してもらう」という運用に切り替える ことはなかなか難しいのが実情です。しかしなが ら、少なくとも、組織内ネットワークで重要な権 限を持っている方や、過去に不審メールが届いた 経験のある方、重要な情報を取り扱っているグル ープ等、組織内の一部を対象とするところからで も、不審メールの報告という運用を検討していた だければと思います。 他にも、PCやサーバが意図せず再起動したり、 不自然な挙動を示した場合など、これまで特に報 告の対象としていなかった些細な事柄も、可能で あれば報告されるとよいかもしれません。こうい った些細な異常から、組織内ネットワークへの攻 撃者の侵入の検知に繋がった例もあり、システム 的な対応だけでなく、人間の「気付き」というセ ンサーが有効であることを示しています。
